Routed IPSEV за NAT
-
Добрый день.
Бьюсь уже неделю над вопросом построения Routed IPSEC туннеля за NAT.Что имеем:
2 офиса, у каждого офиса свой отдельный firewall, маршрутизатор, и сервер с PFsense с одним WAN интерфейсом, имеющим локальный адрес.
Обычний туннель IPSEC с NAT-T строится, но не маршрутизируется. Направте на путь истинный, пожалуйста.Заранее благодарю!
-
Здр
что значит "не маршрутизируется" в Вашем случае ?
Напомню , что классический IPSEC туннель изначально немаршрутизируемый тип соединения ( те передается только трафик , указанный в настройках фазы-2)Нужна маршрутизация - GRE over IPSEC, VTI и тд и тп
-
@konstanti
Обычный IPSEC был построен для теста вобще работы через NAT
Я понимаю, что нужно VTI. К сожалению, при настройке по документации - не получается его настроить. + накладывается то, что у PFsense только 1 интерфейс. -
@maxim-0
Если несложно, задачу обрисуйтес адресацией . Потом уже станет понятно , какой тип соединения Вам подходит. Из картинки пока только понятно , что оба конца туннеля находится за NAT-ом. -
Добрый.
@maxim-0
Покажите скрины настроек IPSEC (фаза 2), firewall, nat. -
@konstanti
Надеюсь так будет понятнее. Спасибо -
@werter
Добрый деньIP адресация приведена для примера.
Настроики FW и НАТ не могу предоставить. -
Понятно
пока до конца не понял - странные у вас настройки фазы-2 ( видно не совсем Вам ясно , как работает IPSEC )должно быть не так, по-моему.
для примера обмен трафиком между 2-мя хостами - не сетями (сторона 88.88.88.88 )Local network ( Address) - 192.168.48.13
Remote network (Address ) - 192.168.1.10Nat/Binat - пусто
противоположная сторона - зеркальное отражение
-
@konstanti
Спасибо за ответ. Пользовался статьей
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configure.htmlПопробую тот вариант, что Вы предложили. Хотя уже менял настройки как угодно )
-
@maxim-0 said in Routed IPSEV за NAT:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configure.html
так Вы же так и не написали , какая задача перед Вами стоит
если нужен обмен трафиком, например ,между
192.168.48.13 и 192.168.1.10 - то нужны мои настройки в фазе-2если что-то другое , то расскажите
по Вашей ссылке
Local Network
Tunnel Mode
Defines which subnet or host can be accessed from the other side of the VPN tunnel. This is typically the LAN or other internal subnet for the VPN, but can also be a single IP address if only one client needs to use the tunnel. The Type selector is pre-loaded with choices for each interface (e.g. LAN subnet ), as well as Address and Network choices that allow entering an IP address or subnet manually.Most often this is set to LAN subnet, meaning the entire LAN will be accessible from the remote network.
Remote Network
Tunnel Mode
(Non-mobile only) Specifies the IP Address or Network which exists on the other (remote) side of the VPN. This field operates similarly to the Local Network option. -
@konstanti
Извините, если не до конца что-то описал.В общем еще раз. Есть 2 офиса. В разных городах. Надо их объединить через ipsec (сети), чтобы клиетские ПК в обоих сетях "видели" друг-друга. В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense, к которому подключен коммутатор и уже потом клиентские пк (сеть настраивал не я, и описываю ее от "имени сетевиков"). Поэтому могу что-то не знать, к сожалению.
-
@maxim-0
какая адресация сетей , которые должны видеть друг друга ? -
@konstanti
Если из примера, то
192.168.48.0.24
192.168.1.0/24Но при этом ipsec должен мочь Routed. Т.е. VTI
-
@maxim-0
Зачем Вам маршрутизируемый туннель ? Чем плох обычный IPSEC в Вашем случае ? -
Руководство поставило такую задачу.
Хотят сделать этот канал связи как резервный для существующего, Если 1 провайдер отвалится, чтобы 2-й принял трафик на себя -
@maxim-0 said in Routed IPSEV за NAT:
В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense
А что является для сетей этих офисов шлюзом по умолчанию?
-
@pigbrother
Маршрутизатор, который находится между ПФсенс и Фаервол+НАТ -
В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense
Зачем ПЕРЕД пф еще один маршрутизатор? Это лишнее звено и головная боль.
Рекомендую его убрать.Зы. Или ПЕРЕД еще пф ДВЕ железки?
-
@werter said in Routed IPSEV за NAT:
ПЕРЕД еще пф ДВЕ железки?
Похоже на то. Если так - ТС получит все прелести асимметричной маршрутизации.
-
@maxim-0
Зачем ПЕРЕД пф еще ДВЕ железки?